ブログ

このエントリーをはてなブックマークに追加
サイト管理人のブログです。

ブログ一覧

無線LANの通信規格WPA2において見つかっている複数の脆弱性に対する対応方法

リアルタイム地球儀

ここ数日、無線LANの通信規格WPA2の脆弱性に関する話題が上がっていますが、

どうすれば安心して無線LANを使用出来るの?

について質問が舞い込んでくることが多くなってきていますので、難しいことは書かずに簡素に「どうすれば無線LANを安心して使えるのか」について書いてみたいと思います。

そもそも、WPA2は、無線LANが利用され初めて3番目に策定されたセキュリティ方式なんです。

暗号化方式には「AES」と呼ばれるモノが採用されています。

これは、今までの暗号化方式に比べると遥かにセキュリティが堅固で、データはストリーム暗号ではなく、ブロック暗号を採用している点も堅固である由縁です。

そのため、AESのセキュリティキーを設定する際に、良く目にするのが、データを8、16または32ビットでブロックに分けて暗号化を行う際の鍵の長さを128ビットにするのか192ビットにするのか256ビットにするのかと選択肢が出てくるモノも増えています。
大抵のものは、AES標準の128ビットを使うことが多いのですが、最近では256ビットの鍵を使えるモノも増えてきています。

今では、それほど、気にならなくなっていますが、こういった長い鍵を用いて暗号化を行いながら通信をする場合には、それなりの処理能力が必要で、以前は、鍵が長いと通信速度が遅くなると言われることがあり、暗号化レベルを下げて使っていた方が多かったようですが、今では、通信速度の低下は解消され、ほぼほぼ標準で、WPA2-AESあるいはWPA2-TKIP、WPA2 Mixedを使うことが標準設定になっています。

で、今回問題になっているWPA2の脆弱性がどういったものかですが、簡単に言うと、今回の脆弱性を悪用された場合、無線LANの通信範囲に第三者の悪者によって、WPA2の通信において盗聴が出来てしまう可能性があると言うことなんです。

その時に使用される攻撃方法が、

KRACKs (Key Reinstrallation Attacks)

と呼ばれる手法なんだそうです。

もし、興味があるようでしたら、英語サイトになりますが、KRACKsを実際に行って盗聴される様子をYoutubeで観ることが出来ますので、ご覧になってみてください。

Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

ちなみに、今あなたが何をしたら良いかについてですが、

各OSで公開される脆弱性を修正した修正プログラムが公開されたら、即アップデートする!

ということになります。

ちなみに10月20日現在、Windowsが修正プログラムを公開していますが、OSの修正プログラムを適用しても、アクセスポイントやルータ側のファームウェアに脆弱性が潜んでいる場合があり、その場合は、両方で対策をする必要があるとしているので、製品のベンダーからの公開情報を待つしか無いといったところもあります。

それでも、安心して使いたいと言うことになりますが、一応「回避策」というのはあります。

1つ目は、単純ですが、重要な情報は無線LANを使わずに有線LANに接続を変更して使うと言うことです。まぁ、これは物理的な対処になります。

2つ目は、無線LANの環境しかないという方も多いので、HTTPを使ったウェブサイトでの重要な情報のやり取りはしないようにする!ということです。それでも、送信しないといけない場合には、HTTPSで接続が確立されているウェブサイトのみに利用を絞って重要な情報をやりとりする!ということになります。

3つ目は、VPNを利用する!ということです。VPNという言葉自体聞き慣れない言葉かもしれませんが、VPNとは、Virtual Private Networkの頭文字を取った略称で、例えるなら、自動車しか通れない専用道路が一般道の中にあると考えて頂ければイメージ出来るかと思います。
いわゆる、インターネット通信の中に、VPNという暗号化されたセキュリティのかかったトンネルを用意して、そのトンネルの中にデータを流すようにする仕組みをVPNと言います。このトンネルは、外から見ると暗号化されているため、覗き見や改ざんなどの不正アクセスを防ぎ、安全な通信を可能にした技術なんです。

このように3つの回避策があります。

特に3番については、過去にも私のブログで、公衆Wi-Fiを使うならVPNでデータを隠匿して、安心してインターネットを使いましょうといった感じで紹介しています。
もちろん、VPNを利用するのには、トンネルを作るわけですから、トンネルの入口と出口が必要になり、入口はあなたのパソコンやスマホ、タブレットで、出口は、トンネルを作った相手方になります。従いまして、トンネルを作るのには、VPN専用ソフトが必要になりますが、その点についても過去の私のブログで紹介していますので、参考にしてみてください。

いずれにせよ、WPA2の脆弱性が見つかったことは重要ですが、この御時世、自分の身は自分で守らなくてはいけません。もちろん、あなたのパソコンやスマホ、タブレットのデータもあなた自身を表すデータに他なりませんから、当然のごとく守る必要があります。

そのためにも、今回WPA2の脆弱性において修正プログラムが公開され修正されたとしても、自分自身を守るために、今後のインターネット技術がどのように変化をしていくかは定かではありませんが、当面の間は、VPNの利用は続けていくことをオススメしたいと考えています。

期限無し!で使えるWi-Fiセキュリティがソースネクストから発売されましたね
http://www.b-space.net/2017/06/infinity-wi-fi-security-license/

便利さ故の危険性について
http://www.b-space.net/2017/09/chrome-id-password-security/

あなたのIQ測定してみませんか!?

英語ページなので、一歩引いちゃいそうな感じですが、使い方は至って簡単な

IQテスト

が出来るサイトです。しかも無料で。

始める時は、あなたの年齢のボタンを押すと測定が始まります。

ただこれだけ!

あとは、25分以内に全問を解くってことなんです。

これ、IQ集団MENSAノルウェー支部が作っているモノみたいで、正確な知能指数が計測出来るんだそうです。

取得ドメインの更新案内を語るメールが舞い込んできました!

またまた、怪しげなメールが舞い込んできました。

それは、内容を読むと取得しているドメインのライセンスが切れるから更新してくださいというモノです。

ドメイン名更新を語る不届き者

でも、私のドメインの更新時期とも異なりますし、そもそも送信元のメアドは、見たことも無いし、非常に怪しい。

そこで、ドメインが正規に使用されているモノか調べて見たところ、

ハイリスクサイト

このように判定された。

これはヤバイ!

さらに、メールの内容には、

Dear ○○,

Don’t miss out on this offer which includes search engine submissions for ○○ for 12 months. There is no obligation to pay for this order unless you complete your payment by 10/21/2017. Our services provide submission and search engine ranking for domain owners. This offer for submission services is not required to renew your domain registration.

Failure to complete your search engine registration by 10/21/2017 may result in the cancellation of this order (making it difficult for your customers to locate you using search engines on the web).

You are under no obligation to pay the amount stated above unless you accept this offer by 10/21/2017. This is a courtesy reminder for ○○.

という文面。これまた怪しい。

確実に詐欺メールだと言うことが判りました。

みなさんも気をつけてください。

Amazonを語る不届きなるメールが再び舞い込んできた!

久々に、Amazonを語るメールが舞い込んできました。

こんなメールです。

Amazonを語るスパムメール

良く出来たメールで、思わずクリックしてしまいそうなメールです。

親愛なるお客様、
これはあなたのサービスが現在中断されたという通知です。. このサスペンションの詳細は次のとおりです。

停止理由:アカウントに確認が必要
今すぐ確認する: http://○○○.net/JP/Login.html
または、ブラウザに次のリンクをコピー&ペーストしてください。

重要:
==========

7日以内にサービスを更新しないと、サービスは永久に削除されます。
すべてのアカウントは、データの機密性を確保するために完全に消去されます。
その後、データを回復することはできません。

こんなメールが飛び込んできたら絶対にクリックしてはいけません!

即刻、削除してしまってください。

もしクリックしてしまうと、次の画面でAmazonのログイン画面とうり二つの画面が表示されます。

これも、嘘なので絶対入力してはなりません!

そうそう、このメールの最下部に、見えないようにリンクが埋め込んであるんですが、そこには、「Terms of Service」と書かれています。ここには、怪しいリンクが埋め込まれています。御注意を!

2020年から必修化となるプログラミング教育はプログラミング自体を教えるものじゃない!

文科省が小学校におけるプログラミング教育について、いろいろな議論が成されているようですが、かなりの誤解が広がっていることも確かなようです。

確かにプログラミング教育と言われると

コーディング手法
プログラミング言語

を覚えることって考えてしまうのですが、実のところ、そうではないんです。

今回の2020年から必修化されるプログラミング教育では、子ども達に「コーディング」や「プログラミング言語」を教えるのではなく、

プログラミング的思考

を養って貰うというのが本質なんです。
はて?プログラミング的思考!?ってどういうこと?って思われたと思いますが、このプログラミング的思考というのは、

子ども達が、これから世の中に出ていく時に物事を論理的あるいは創造的に捉えることが必要になりますが、そんな時に、必要となる力。言うなれば、

コンピュータが問題を解きやすいように、あなた自身が問題の正しい見方を学ぶこと

と捉えればいいかと思います。

正しい見方が出来たならば、SCRATCHなどを使ってコンピュータが問題を解きやすいように指示をする事が出来ているのかを確認するというのもいいのかもしれません。

ちなみに、新たにプログラミング教育が授業の一環に加わることで、今まであった教科に支障をきたすのではと思いがちですが、そんなことはなく、国語・算数・理科・社会といった授業のそれぞれの中に、このプログラミング教育が組み込まれるんだそうです。
なんで、プログラミング教育を小学校でって思ったんですが、最近感じていることがあったのですが、「考える」ということがおざなりになってきているような気がしていました。これが発端なのではって思っています。ホントかどうかは判りませんが。

それが、どこの段階でそうなったのかは良く分かりませんが、日本の教育は「詰め込み教育」とよく言われていますよね。
その詰め込み教育が仇となって、考える力が衰えてきているのではと感じています。

みんながみんな、考える力が衰えているというわけではないのですが、「聞けば教えてくれる」「ネットで調べれば答えが分かる」といったように、自分で考え、悩み、答えを導き出す環境が少なくなっているのも原因の一つかもしれません。

そんな中で生まれたのが、プログラミング教育なのかもしれませんね。
小学生のお子さんがいる親御さんは、このプログラミング教育が始まると困ることがありますよ(^_^;)

それは、「○○しなさい!」とか「それはダメ!」とか頭ごなしに叱ることがあると思います。

これを言われたお子さんは、習ってきたプログラミング教育を逆手に反抗してくるかもしれませんので、親御さんも一緒に学ぶ必要があるかもしれませんね(-_-)
あくまで、プログラミング教育は、

コンピュータが問題を解きやすいように、人が知恵を絞ること

なので、普段の会話の中でも、「どうして、それをしないといけないのか」とか「どうして、それがダメなのか」といったことを論理的に説明していかれるようになるといいのかもしれません。

でも、こんな論理的に説明をし合っていたら、目くじら立てることがなくなるかもしれませんね(*^_^*)

まっ!どのような授業になるのか楽しみにしていきたいと思っています。